Ang Blockchain.info ay nag-isyu ng mga refund sa mga biktima ng pagnanakaw ng Bitcoin

Isa pang bug ang natuklasan sa isang Bitcoin wallet, na humahantong sa pagnanakaw ng humigit-kumulang 50 bitcoins. Sa pagkakataong ito, may kasalanan ang web wallet ng Blockchain.info, at ang kumpanya ay nag-aalok na ngayon ng mga refund sa mga user na nawalan ng bitcoins dahil sa kapintasan.

Ang sikat na Blockchain website ay pangunahing nag-aalok ng market data at nagsisilbing pangunahing block chain explorer para sa Bitcoin currency. Gayunpaman, ang mga gumagamit ay maaari ring lumikha ng mga web-based na wallet upang magpadala at tumanggap ng mga bitcoin. Ang bug ay nasa random number generator na ginagamit ng web wallet para mag-sign ng mga transaksyon sa Bitcoin . Ang mga random na numero ay nabuo sa mga web browser gamit ang JavaScript programming language. Ito ay natuklasan noong Lunes, nang ang isang gumagamit ng Bitcoin iniulat na ninakaw niya ang 1.8 BTC (humigit-kumulang $223).

"Hindi naapektuhan ang mga pondo mula sa iba pang mga address sa wallet na ito. Ito ay humantong sa akin sa mga pag-iisip na ang Blockchain.info o Firefox ay maaaring may ilang kahinaan sa random number generator tulad ng kahinaan na natagpuan kamakailan sa Android, [sic]," sabi niya.

Ang bug na ito ay sumusunod sa isa pang random na depekto ng generator matatagpuan sa Android operating system mas maaga sa buwang ito. Naapektuhan ng kapintasang iyon ang pagbuo ng mga pribadong key para sa mga address ng Bitcoin . Ang pag-uulit ng mga random na numero ay nagbigay-daan sa mga umaatake na matukoy ang mga pribadong key ng mga wallet ng mga user, na nagbigay-daan naman sa kanila na magkaroon ng pagmamay-ari ng mga Bitcoin address na nauugnay sa mga key na iyon.

Maraming kliyente ng Android ang naapektuhan ng kapintasang iyon (kabilang ang kliyente ng Blockchain.info, kung saan nagbigay ito ng patch). Ngunit ang pinakabagong depektong ito ay nakaapekto sa browser client ng Blockchain.info, sa mga extension ng Chrome at Firefox nito, at sa Mac OSX app nito.

Hindi tulad ng Android bug, naapektuhan lang ng flaw na ito ang pagpirma ng mga transaksyon, sa halip na ang paggawa ng mga pribadong key, nakumpirma Ben Reeves ng Blockchain (aka Piuk) sa Bitcointalk forum. Ang Firefox ay partikular na mahina sa isang mahinang seeding ng random number generator nito, idinagdag niya.

"Hindi tulad ng isyu sa Android ang RNG [random number generator] na ginamit upang makabuo ng mga pribadong key ay hindi naapektuhan kaya ang mga wallet ay hindi kailangang muling i-key," sinabi ni Reeves sa CoinDesk. "Hangga't ang iyong kliyente ay napapanahon para sa mga transaksyon sa hinaharap hindi ka malalagay sa panganib."

Na-patch na ngayon ng Blockchain.info ang bug. Dapat tiyakin ng mga user na ginagamit nila ang mga sumusunod na numero ng bersyon ng kliyente:

• Extension ng Chrome - v2.85
• Extension ng Firefox - v1.97
• Mac client - v0.11

Gayundin, ang mga gumagamit lang ng web wallet (nang walang plugin) ay dapat i-clear ang kanilang browser cache bago gamitin ang Blockchain website.

Pinayuhan ng isa pang gumagamit ng forum ang mga miyembro ng forum na nakabase sa USA na mayroong posibleng legal na pagwawasto sa pamamagitan ng mga pederal na batas laban sa criminal wire fraud.

Nang tanungin tungkol sa pagkakakilanlan ng (mga) umaatake, kinumpirma ni Reeves na ang umaatake ay isang indibidwal at na ang lahat ng ninakaw na pondo ay naipadala sa sumusunod na address: 1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj.

Kapansin-pansin, ang mga pondong inilipat sa account na iyon ay kasama rin ang mga pondong kinuha mula sa mga user ng Android mas maaga sa buwang ito, na nagmumungkahi na ang parehong tao ay maaaring nasa likod ng pagnanakaw ng mga bitcoin gamit ang parehong mga bug.

Para sa mga naghahanap upang mabawi ang mga nawawalang pondo, sinabi sa amin ni Reeves: "Kung ang isang tao ay nag-iisip na sila ay may mga pondong ninakaw, kung ito ay dahil sa bug na ito, malamang na ang mga barya ay naipadala sa address sa itaas. Kung may pagdududa maaari silang makipag-ugnayan help@blockchain.infoat mag-iimbestiga pa ako. Ilang BTC lang ang na-refund sa ngayon."

Reeves hinted at a glimmer of hope for lost funds: "Depende ito sa intensyon [ng attacker], pero may posibilidad pa rin na maibalik nila ang pondo." Ngunit ang nangingibabaw na mensahe ay: T magtiwala dito.

Sinabi ng isang kinatawan ng Blockchain.info na inilabas ni Reeves ang (nabanggit) na mga patch sa loob ng ilang oras nang matukoy ang kapintasan, at idinagdag: "Ito ay isang tunay na kamangha-manghang oras ng turnaround."

Isang listahan ng mga address na apektado ng random number generator bug sa Blockchain at Android na-publish sa Bitcoin forum, at na-update din sa mga bagong nahanap. Sinabi niya sa amin: "Kung iniisip ng isang tao na ninakaw ang kanilang pera dahil sa pagsasamantalang ito, dapat nilang suriin kung ang kanilang Bitcoin address ay nasa listahan. Kung ito ay, Contact Us sa:https://blockchain.info/support-desk. Kung T, hindi ka naging biktima ng pagsasamantalang ito."

Nawalan ka na ba ng bitcoins? Na-refund ka na ba? Ipaalam sa amin sa mga komento.